Sešit 9/1999 - Crypto-World
Sešit 9/1999 - Crypto-World
Sešit 9/1999 - Crypto-World
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Crypto</strong>-<strong>World</strong> 9/99<br />
Informační sešit GCUCMP<br />
Př ipravil : Mgr.Pavel Vondruška,<br />
člen IACR, GCUCMP<br />
Uzávěrka 7.9.99<br />
(25 e-mail výtisků)<br />
Všechny uvedené informace jsou př evzaty z volně dostupných prověř ených<br />
zdrojů (internet, noviny). Oficiální informační sešit je primárně určený pro<br />
členy "Kryptologické sekce Jednoty matematicko-fyzikální " (GCUCMP).<br />
Pokud má někdo zájem o tyto informace, stačí se zaregistrovat e-mailem na<br />
adrese hruby@gcucmp.cz (subject : <strong>Crypto</strong>-<strong>World</strong>). Informační sešit je<br />
bezplatně rozesílán v elektronické podobě e-mailem.<br />
Př ípadné chyby a nepř esnosti jsou dílem P.Vondrušky a GCUCMP za ně<br />
nemá odbornou ani jinou zodpovědnost.<br />
OBSAH :<br />
Str.<br />
A. Nový šifrový standard AES 1-2<br />
B. O nové m bezpečnostním problé mu v produktech Microsoftu 3-5<br />
C. HPUX a UNIX Crypt Algoritmus 5<br />
D. Letem "šifrovým" světem 5-7<br />
E. e-mailové spojení (aktuální př ehled) 7<br />
A. Nový šifrový standard AES<br />
AES ( Advenced Encryption Standard) – algoritmus, který má nahradit dosavadní standard<br />
DES . Jaký je vlastně aktuální stav ve vyhledávání nové ho šifrové ho standardu?<br />
Historie :<br />
1997 – americká vláda (př esněji NIST) vypisuje „soutěž“ na vytvoř ení nové ho komerčního<br />
standardu pro symetrické šifrování<br />
1998 , červen – uzávěrka pro podání návrhu, celkem bylo př edloženo 15 kandidátů (CAST-<br />
256, CRYPTON, DEAL, DFC, E2, FROG, HPC, LOKI97, MAGENTA, MARS, RC6,<br />
RIJNDAEL, SAFER+, SERPENT, TWOFISH) , NIST rozhodne vyhodnotit tyto návrhy a<br />
př ijmout do dalšího kola jen 5 kandidátů<br />
1998, srpen – první konference , kde se hodnotí podané návrhy (Californie, USA)
<strong>1999</strong>, duben – druhá konference (Řím, Itálie), rozhodnuto, že konec př ipomínek<br />
k jednotlivým algoritmům bude v červnu <strong>1999</strong><br />
<strong>1999</strong>, srpen – NIST ohlašuje výběr následujících kandidátů:<br />
1) Mars – vytvoř eno rozsáhlým týmem odborníků IBM (reprezentován Nevenko Zunicem)<br />
2) Rijndael - př ipravil vynikající tým belgických kryptologů (Vincent Rijmen, Joan<br />
Daemen)<br />
3) RC6 – od RSA Data Security (Burt Kaliski, podílel se i slavný Ron Rivest)<br />
4) Serpent – navržený trojicí velice známých kryptologů - Ross Andrsonem, Eli Bihamem,<br />
Lars Knudsenem<br />
5) Twofish – návrh firmy Counterpane System (prezident firmy Bruce Schneier)<br />
(Pozn. s většinou uvedených kryptologů - jste se mohli osobně setkat v Praze letos v květnu<br />
na konferenci Eurocrypt´ 99 . Barevnou fotku všech účastníků konference si lze u mne zdarma<br />
vyzvednout).<br />
NIST publikovalo velice rozsáhlou zprávu (52 stran), ve které zdůvodňuje výběr těchto<br />
kandidátů, a proč nebyly př ijaty ostatní algoritmy. Tato zpráva je k dispozici na adrese :<br />
http://csrc.nist.gov/encryption/aes/round2/round2.htm#NIST<br />
Dalším krokem bude výběr ze zbývajících kandidátů.<br />
Dohodnutý časový harmonogram:<br />
1) Na „7-th Fast Software Encryption workshopu“ v dubnu roku 2000 budou komentovány<br />
vlastnosti uvedených kandidátů.<br />
2) Př ipomínky bude dále možné na NIST př edkládat do 15.května roku 2000 a potom NIST<br />
ohlásí, který z algoritmů se stál jediným kandidátem na nový komerční standard.<br />
3) AES dále bude podroben formálnímu vládnímu schvalovacímu procesu a výsledky budou<br />
zpracovány ve FIPS (Federal Information Processing Standard).<br />
4) Pokud vše proběhne úspěšně, tak v lé tě roku 2001 bude ohlášen nový standard šifrové ho<br />
algoritmu pro všechny komerční mezinárodní aplikace.<br />
Př ipomeňme závěrem, že vybraný standard má být velice flexibilní, lehce<br />
implementovatelný, má pracovat s 32-bitovým mikroprocesorem, 64-bitovým procesorem, ale<br />
i 8-bitovým (v tzv. režimu smart card). AES má být 128-bitová bloková šifra, musí<br />
podporovat klíče dé lky 128, 192 a 256 bitů. Výběr takové ho algoritmu, který je určen pro<br />
všechny typy aplikací a nasazení (klasický software pro PC, terminály pro elektronickou<br />
komerci, čipové karty) není opravdu lehký. Autoř i tvrdí , že nově vzniklý standard by snad<br />
mohl být standardem pro celé 21-století !<br />
Pokud chcete zaslat nějaké komentář e nebo př ipomínky k výběru kandidátů , př ípadně<br />
ukázat jejich slabost (!), lze je odeslat do NIST dokonce pomocí e-mailu. Př esné instrukce<br />
najdete na :<br />
http://www.nist.gov/aes
B. O nové m bezpečnostním problé mu v produktech Microsoftu<br />
1.Historie<br />
Na konferenci CRYPTO v lé tě roku 1998 oznámil britský kryptolog Nicko van Someran, že<br />
př i analýze zdrojové ho kódu Windows - bezpečnostního driveru ADVAPI.DLL, který<br />
kontroluje povolení bezpečnostních funkcí včetně Microsoft <strong>Crypto</strong>graphic API (MS-CAPI),<br />
objevil, že driver obsahuje dva různé klíče. Jeden slouží Microsoftu ke kontrole (podpisu)<br />
použití kryptologických funkcí a ve své m důsledku ke kontrole U.S.exportu silných<br />
kryptologických funkcí. Existenci druhé ho klíče nedokázal objasnit.<br />
Na letošní konferenci CRYPTO ´ 99 v Santa Barbař e oznámil kanadský matematik Andrew<br />
Fernandez, že př i analýze service Packu 5.0 pro Windows NT 4.0 získal pomocí odšifrování<br />
pomocných debugging informací v souboru _CProvVerifyImage@8 interní označení obou<br />
dvou výše jmenovaných klíčů. Jeden z klíčů se jmenuje _KEY a druhý _NSAKEY. Tato<br />
skutečnost vyvolala na internetu debatu a spekulace o tom, že Microsoft umožnil NSA<br />
pomocí zadních vrátek vstup k právě choulostivé mu modulu, který slouží k šifrování.<br />
Spekulace vycházely př edevším z názvu pro druhý klíč a z nedávno odhalené afé ry, kdy<br />
známý výrobce šifrových zař ízení <strong>Crypto</strong> AG ve svých výrobcích zadní vrátka pro NSA měl.<br />
Microsoft proto 3.9.<strong>1999</strong> reagoval oficiální tiskovou zprávou, ve které vysvětluje, že se jedná<br />
pouze o záložní klíč, a protože slouží ke kontrole exportu silné kryptografie, která podlé há<br />
kontrole vlády, byl "vhodně" nazván _NSAKEY.<br />
2. Odhalení názvu druhé ho klíče<br />
Uvedený postup provedl Andrew Fernandez z firmy <strong>Crypto</strong>nym a je popsán např . v dokumetu<br />
uložené m na (http://www.cryptonym.com/hottopics/msft-nsa.html)<br />
Př ed zavedením CSP v ADVAPI32.DLL<br />
adresa 0x77DF5530 -> A9 F1 CB 3F DB 97 F5 ... ... ...<br />
adresa 0x77DF55D0 -> 90 C6 5F 68 6B 9B D4 ... ... ...<br />
Po dešifrování pomocí algoritmu RC4 dostaname<br />
A2 17 9C 98 CA => R S A 1 ... 00 01 00 01 ... ( +veř ejný klíč )<br />
A0 15 9E 9A CB => R S A 1 ... 00 01 00 01 ... (+veř ejný klíč )<br />
Service Pack 5 pro NT4.0<br />
v debugging symbolech v modulu<br />
ProvVerifyImage@8"<br />
Adresa 0x77DF5530
K čemu vlastně slouží klíč v systé mu Windows? Microsoft <strong>Crypto</strong>Api povolí ISVs<br />
(Independent Software Vendors) dynamické natažení CSPs (<strong>Crypto</strong>graphic Service Providers)<br />
po ověř ení, že je digitálně podepsán klíčem Microsoft. Pokud CSPs není podepsán nelze<br />
použít šifrové rozhraní. Toto bylo zavedeno v souvislosti s kontrolou exportu kryptografie z<br />
USA. Jestliže někdo chce nahradit CSPs vlastním rozhraním nebo rozhraním s delšímisilnějšími<br />
klíči, musí být toto rozhraní podepsáno digitálním podpisem Microsoftu a to jej<br />
udělí jen, je-li použití poveleno v souladu s restrikcemi americké vlády.<br />
Pokusy, které v posledních dnech byly provedeny, ukázaly, že CSPs nemusí být podepsán<br />
prvním klíčem (ozanačení KEY), ale k povolení načtení do paměti stačí podpis _NSAKEY.<br />
Dále se prokázalo, že veř ejný klíč _NSAKEY lze nahradit jiným veř ejným klíčem, a pokud je<br />
soukromým klíčem podepsán modul CSPs, lze jej provozovat.<br />
4. Popis bezpečnostního útoku<br />
Útok 1 (neúspěšný):<br />
Použít vlastní CSP podepsané soukromým klíčem.<br />
Př epsat "_KEY" vlastním odpovídajícím veř ejným klíčem...<br />
... Windows př estanou pracovat , neboť nemohou ověř it vlastní bezpečnostní podsysté m<br />
Útok 2 (úspěšný !) :<br />
Použít vlastní CSP podepsané soukromým klíčem.<br />
Př epsat "_NSAKEY" vlastním odpovídajícím veř ejným klíčem...<br />
... Windows pracují dále, neboť k ověř ení bezpečnostního subsysté mu je k dispozici _KEY<br />
(klíč Microsoftu)<br />
CSP pracuje , protože Windows se pokusily jej verifikovat užitím "_KEY" a protože byly<br />
neúspěšné , pokusily se je verifikovat pomocí "_NSAKEY" (obsahuje již náš veř ejný klíč).<br />
Výsledek:<br />
Windows <strong>Crypto</strong>API systé m je funkční<br />
klíč _NSAKEY je odstraněn<br />
uživatel může použít CSP, bez podpisu klíčem _KEY (Microsoftu) nebo vlastníkem klíče<br />
_NSAKEY (Microsoft / NSA ?)<br />
Že uvedený útok je reálný potvrzuje již zveř ejněný program na serveru firmy <strong>Crypto</strong>nym,<br />
který si lze pro demonstrační použití dokonce stáhnout. Program je určen pro Windows NT<br />
4.0.<br />
5.Závěr<br />
Vzhledem k uvedené mu útoku plyne, že:<br />
- Microsoft ztratil možnost kontrolovat použití silné kryptografie ve svých produktech.<br />
Př esněji - uživatel může použít vlastní <strong>Crypto</strong>Api bez podpisu firmou Microsoft a tedy<br />
bez ohledu na exportní omezení a jeho kontrolu americkou vládou.<br />
- Potenciálně je možné ve vašem počítači nahradit _NSAKEY jiným klíčem a nahradit<br />
<strong>Crypto</strong>Api jiným <strong>Crypto</strong>Api , podepsaným výše zmíněným vnuceným klíčem . Toto nové<br />
<strong>Crypto</strong>Api může mimo př edchozích funkcí vykonávat i jiné nedokumentované úkoly,<br />
které mohou sloužit útočníkovi k získání cenných informací o datech na vašem počítači
Literatura:<br />
1. Tiskové prohlášení firmy Microsoft 3.9.99<br />
www.micosoft.com/presspass/press/<strong>1999</strong>/sept99/rsapr.htm<br />
2. The New York Times, September 4, <strong>1999</strong> , John Markoff, A Mysterious Component Roils<br />
Microsoft http://www.nytimes.com/library/tech/99/09/biztech/articles/04soft.html<br />
3. The New York Times, September 4, <strong>1999</strong> , Peter Wayner, Why a Small Software Label<br />
Raised Eyebrows , http://www.nytimes.com/library/tech/99/09/cyber/articles/04soft-side.html<br />
4. Duncan Campbell, NSA Builds Security Access Into Windows<br />
5. A. Fernandez, Microsoft, the nSA, and You<br />
http://www.cryptonym.com/hottopics/msft-nsa.html<br />
6. R. Cooper, Is the NSA in Microsoft - Who killed JFK?<br />
http://ntbugtraq.ntadvice.com/default.asp?sid=1pid=47&aid=52<br />
7. S. Kettmann, J. Glave, MS Denies Windows "Spy Key"<br />
http://www.wired.com/news/news/technology/story/21577.html<br />
A další …<br />
C. HPUX a UNIX Crypt Algoritmus<br />
HPUX je šifrový algoritmus implementovaný v operačním systé mu Solaris a Crypt je šifrový<br />
algoritmus implementovaný v operačním systé mu UNIX. Ve skutečnosti se jedná o stejné<br />
algoritmy. V manuálech k těmto operačním systé mům můžeme najít úplně rozdílné<br />
hodnocení těchto systé mů !<br />
V manuálu Solaris 2.6 Crypt můžeme číst : „ crypt je implementací jedno-rotorové ho zař ízení<br />
založené ho na bázi německé ho př ístroje Enigma, ale s 256-elementy rotoru. Metody útoku na<br />
takovýto algoritmus jsou obecně známy, crypt poskytuje jen minimální bezpečnost.“<br />
V manuálu HPUX 10.20 můžeme číst : „ crypt je implementací jedno-rotorové ho zař ízení<br />
založené ho na bázi německé ho př ístroje Enigma, ale s 256-elementy rotoru. Metody útoku na<br />
takovýto algoritmus jsou známé , práce, které je tř eba vzít do úvahy s těmito útoky, jsou však<br />
velmi rozsáhlé .“<br />
Čteme-li manuál HPUX dále , najdeme vyjádř ení, že crypt chrání adekvátním způsobem vaše<br />
soubory. Je smutné , když šifrový algoritmus, který umí „breaknout“ (rozluštit) každý student<br />
kryptografie za domácí úkol, je doporučen dodavatelem operačního systé mu k ochraně dat!<br />
http://www.counterpane.com<br />
D. Letem "šifrovým" světem<br />
1) Na adrese<br />
http://www.ntsecurity.net/forums/2cents/news.asp?IDF=118&TB=news<br />
je uvedeno tvrzení, že šifrový algoritmus EFS (Encrypting File Systé m) vestavěný do<br />
Microsoft Windows 2000 byl „rozbit“. Microsoft ve své odpovědi tvrdí, že systé m samotný<br />
nebyl „rozbit“, ale bylo využito toho, že uživatelé systé m špatně používají (jedná se o<br />
možnost využití EFS recovery key) …<br />
http://www.microsoft.com/security/bulletins/win2kefs.asp
2) Objevila se nová verze známé ho viru Melisa. K šíř ení využívá slabin Microsoft Outlook.<br />
Vir ničí operační systé m Windows. Na internetu najdeme jízlivé komentář e, které dodávají, že<br />
práce, kterou Melisa provádí je "chytrá a aktuální ".<br />
http://www.computerworld.com/home/print.nsf/all/990719B50A<br />
3) V Kalifornii byla př ijata nová verze zákona o digitálním podpisu. Digitální podpis je nyní<br />
uznáván jako podpis, který lze právně použít k podpisu obchodních kontraktů .<br />
http://www.computerworld.com/home/news.nsf/all/9907294dig<br />
4) Útok "hrubou silou" (totální zkoušky klíčů) na soubor zašifrovaný pomocí programu ZIP<br />
je samozř ejmě možný (odmyslíme-li otázku strojové ho času) a jednoduchý (na internetu je<br />
spousta programů, které lze úspěšně použít. Na níže uvedené adrese se však objevila novinka,<br />
která využívá možnosti útoku ze znalosti otevř ené ho textu (known-plaintext attack ). Velice<br />
zajímavé je, že k útoku stačí znalost 13-ti bytů ! Zájemci mohou navštívit adresu :<br />
http://www.unix-ag.uni-kl.de/~conrad/krypto/pkcrack.html a pokud vlastníte 30 ecash<br />
(digitálních peněz) můžete si stáhnout verzi pro UNIX nebo DOS.<br />
5) Po úspěšné m útoku hackerů na poštovní server Microsoftu koncem minulé ho měsíce se<br />
ř ada lidí ohlíží po jiné m "bezpečné m" poštovním serveru. Vzhledem k tomu, že hackeř i stáhli<br />
úplný seznam všech uživatelů včetně hesel a vzhledem k tomu, že pro zapomnětlivé je na<br />
Hotmailu př ímo vestavěná možnost jak heslo (př i znalosti jistých údajů o majiteli účtu) získat,<br />
rozhodl jsem se tuto adresu vyškrtnout ze seznamu mnou používaných adres. Současně<br />
doporučuji používat pro důvěrnou poštu následující server : "Hushmail".<br />
Hushmail je typu serveru Hotmail, ale používá šifrování. Pro komunikaci je implementován<br />
protokol SSL (z prohlížeče) na server a následně šifrování zpráv pomocí kvalitního programu<br />
Blowfish . RSA v SSL používá klíč dé lky 1024 bitů ! Zdrojový kód lze také získat a stáhnout<br />
z níže uvedené ho serveru (poslední verze je 1.04) a vytvoř it si vlastní silnou kryto-aplikaci<br />
(nepodlé há vývozním restrikcím !).<br />
http://www.wired.com/news/news/email/explodeinfobeat/technology/story/19804.html<br />
Hushmail homepage: http://www.hushmail.com/<br />
Technická podpora: https://www.hushmail.com/tech_description.htm<br />
Zdrojový kód: http://www.cypherpunks.ai/~hush/<br />
6) Francie změnila svoji politiku restrikcí na poli šifrování. Ministerský př edseda Lionel<br />
Jospin oznámil, že Francie obrací svoji dlouhotrvající tradiční domácí restriktivní politiku<br />
směrem k volné mu používání silných šifer až do dé lky klíče 128 bitů. Do té doby Francie<br />
umožňovala na domácím poli používat volně jen šifry do 40 bitů klíče. Jedná se<br />
pravděpodobně o rozhodnutí, které bylo provedeno na základě informací o existenci a<br />
využívání špionážního systé mu ECHELON.<br />
http://jya.com/jospin-coup.htm<br />
7) Na základě zprávy odborné ho orgánu EP (Evropské ho parlamentu) STOA, která byla<br />
publikována v dubnu <strong>1999</strong> (zpráva se krátce nazývá "Interception Capabilities 2000", nebo<br />
jen IC2000 , http://www.iptvreports.mcmail.com/stoa_cover.htm ), byla př ehodnocena<br />
německá vládní politika v oblasti kryptologie a ochrany dat. Německá vláda př ijala zásadní<br />
dokument o principech šifrové politiky "Eckpunkte der deutschen Kryptopolitik", který je<br />
svým obsahem ve světě zcela ojedinělý (http://www.bmwi.de/presse/<strong>1999</strong>/0602.html).<br />
Tento dokument zásadně mění vládní postoj k silné kryptografii. Některé základní informace<br />
lze nalé zt např . v V.Klíma : "Velký bratr všechno slyší", CHIP 8/99 nebo mohu př edat svůj<br />
pracovní př eklad kompletního vládního prohlášení.
8) Švé dsko. Podle časopisu Datateknik (10/99, http://www.datateknik.se) švé dské<br />
ministerstvo studuje zprávu STOA IC2000 a švé dská vláda pověř ila tajnou polici SAPO, aby<br />
vyšetř ila průmyslovou špionáž, která je vedena proti švé dským národním a průmyslovým<br />
zájmům. Zahrnuje to systé m ECHELON a dohodu UKUSA.<br />
Snad již reakcí na výsledky tohoto šetř ení je liberalizace švé dské ho exportu šifrových zař ízení<br />
(z 23.7.<strong>1999</strong>) a obecně povolení exportu silné kryptologie s klíči do 128 bitů (mimo<br />
vyjmenované státy).<br />
http://www.ud.se/pressinf/pressmed/<strong>1999</strong>/juni/990623_5.htm<br />
9) CGHQ britský ekvivalent NSA se bude stěhovat. Nová budova má plánovanou kapacitu<br />
pro 4500 lidí (v originále for 4,500 eavesdroppers and code-breakers) a bude dokončena v<br />
roce 2002. V areálu bude místo pro 1750 služebních aut a náklady jsou stanoveny na 300<br />
miliónů liber šterlinků.<br />
http://www.guardianunlimited.co.uk/Archive/Article/0,4273,3862710,00.html<br />
10) INVEX Computer Brno´ 99 se již tradičně uskuteční v týdnu od 4.10 do 8.10.<strong>1999</strong>. Ve<br />
stánku DSM se konají každý den od 13.00 hod. do 16.00 hod. neformální odborná setkání,<br />
která budou koncipována jako odborné př ednášky zástupců jednotlivých firem. Mottem<br />
setkání je slogan "O informační bezpečnosti - netradičně". Na akci je nutné se př edem<br />
registrovat u DSM.<br />
E. e-mailové spojení (aktuální př ehled)<br />
hruby@gcucmp.cz (Union of Czech Mathematicians and Physicists)<br />
- oficiální adresa kryptologické sekce JČMF (Group of <strong>Crypto</strong>logy …)<br />
- jako člen výboru té to sekce poštu na té to adrese pravidelně zpracovávám<br />
- vzhledem k velké mu objemu pošty je vhodné do subjectu umístit jmé no Vondruška<br />
- odesílat a př ijímat lze libovolný počet př íloh<br />
- upř ednostňuji pro př enos většího objemu dat<br />
pavel.vondruska@post.cz<br />
- hlavní osobní stránka, o př íchodu e-mailu jsem informován na mobil<br />
- k e-mailu lze př iložit jen jedna př íloha !<br />
- někdy je tato adresa př etížena<br />
- odeslat lze jen jedna př íloha, jsou problé my s některými typy př íloh (obsah je konvertován<br />
do textu e-mailu) např . *.rtf .<br />
- ozkoušeny a vhodné jsou př ílohy *.doc a *.zip<br />
pavel_vondruska@hotmail.com ZRUŠENA !!! (obsah do konce listopadu vybírán)<br />
pavel.vondruska@sms.paegas.cz<br />
- slouží k př ímé mu odeslání e-mailu na můj mobilní telefon<br />
- nelze př idat př ílohu<br />
- celková dé lka textu je omezena cca 160 znaky<br />
- zobrazí se adresa e-mailu odesílatele, subject, a zpráva<br />
Pozn. Všechny výše uvedené články jsou k dispozici v elektronické formě.